﻿// ------------------------------------------------------------------------
// 版权信息
// 版权归重庆虫儿飞科技有限公司所有。
// 所有权利保留。
// 官方网站：https://netokit.com
// 许可证信息
// Neto.Kit 项目主要遵循 MIT 许可证和 Apache 许可证（版本 2.0）进行分发和使用。
// 许可证的完整文本可以在源代码树根目录中的 LICENSE-APACHE 和 LICENSE-MIT 文件中找到。
// 
// 使用条款
// 使用本代码应遵守相关法律法规和许可证的要求。
// 
// 免责声明
// 对于因使用本代码而产生的任何直接、间接、偶然、特殊或后果性损害，我们不承担任何责任。
// 
// 其他重要信息
// Neto.Kit 项目的版权、商标、专利和其他相关权利均受相应法律法规的保护。
// 有关 Neto.Kit 项目的其他详细信息，请参阅位于源代码树根目录中的 COPYRIGHT 和 DISCLAIMER 文件。
// 
// 更多信息
// 请访问 https://netokit.com 获取更多关于 Neto.Kit 项目的许可证和版权信息。
// ------------------------------------------------------------------------

namespace Neto.Web;

public static class WebSafeExtensions
{
    /// <summary>
    ///     防止跨站点请请求伪造xsrf/csrf
    /// </summary>
    /// <param name="services"></param>
    /// <returns></returns>
    public static IServiceCollection AddCSRF(this IServiceCollection services,
        CookieBuilder antiforgeryCookieBuilder = null)
    {
        #region 防止跨站点请请求伪造xsrf/csrf

        //防止跨站点请请求伪造xsrf/csrf
        //ajax提交时，需要自定义Head时使用
        services.AddAntiforgery(options =>
        {
            //options.FormFieldName = "AntiforgeryFieldname";//防伪造系统用于在视图中呈现防伪造令牌的隐藏表单域的名称。
            //options.HeaderName = "X-CSRF-TOKEN-HEADERNAME";//	防伪造系统使用的标头的名称。 如果为 null，则系统仅考虑表单数据。
            options.SuppressXFrameOptionsHeader = false;
            if (antiforgeryCookieBuilder != null) options.Cookie = antiforgeryCookieBuilder;
            //options.Cookie = new CookieBuilder()
            //{
            //    Name = $".AspNetCore.Antiforgery.{RandomHelper.GetString(10)}",
            //    IsEssential = true,
            //    SameSite = SameSiteMode.Unspecified,
            //    SecurePolicy = CookieSecurePolicy.SameAsRequest,
            //    Expiration = TimeSpan.FromSeconds(120),//Cookie有效期
            //    HttpOnly = true,//此属性为true，则只有在http请求头中会带有此cookie的信息，而不能通过document.cookie来访问此cookie。
            //};
        });
        //全局验证
        services.AddMvc(options =>
            options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute()));

        #endregion 防止跨站点请请求伪造xsrf/csrf

        return services;
    }
}